Accéder au contenu principal

IT Due Diligence : Questionnaire standard pour l’évaluation d’un fournisseur de solution IT

IT_evaluation
Un précédent message nous a donné un exemple de questionnaire pour les évaluations d’entreprises ou de filiales:
Une évaluation de fournisseur technologique est à prendre tout autant au sérieux dans le monde professionnel. Il faut toujours garder à l’esprit qu’on ne choisit pas un progiciel comme on achète un jeu vidéo. En effet, une application choisie par une ligne de business peut être :
  • Une source de gains et de différenciation positive
  • Un gouffre financier et un calvaire à utiliser ou vendre
L’objectif de ce type de questionnaire préparatoire est de détecter le niveau technique du fournisseur éventuel à travers la qualité des réponses fournies.
Comme pour la liste du message précédent, je vous donne un exemple qui doit être adapté à votre besoin en étant enrichi ou nettoyé.
Il faut aussi préciser que ce questionnaire est volontairement limité en nombre de questions, car de même que pour les acquisitions, il est préférable de ne pas démarrer ce processus en donnant une image négative, surtout si l’éditeur doit devenir un partenaire à long terme.
Partie 1: EntreprisePeople_insert-200
  • Profil de l'entreprise à fournir, y compris:
    • statut juridique
    • de noms et % de part
    • nombre de salariés et leurs rôles
    • les dernières années de chiffre d’affaires
    • le financement
    • l'histoire des propriétaires
    • les partenaires techniques et commerciales
  • Rôles des employés clés (CV de chaque employé clé à fournir)
  • Y a-t-il des actionnaires qui ne sont pas employés et / ou qui ne travaillent pas directement pour l'entreprise ? (Nombre de salariés, % de parts)
  • Pas de changement prévisible dans l’actionnariat ?
  • Aucun employé clé en partance ?
  • Aucun privilège sur les actions ?
  • Quel est le niveau de compétences croisées de votre entreprise ?
  • La  société déjà été auditée ?
  • La société déjà été certifiée?
  • Combien de projets sont actuellement en cours dans votre entreprise ? Quels types de projets ?
  • Quelle est la stratégie d'expansion prévu pour les 5 prochaines années ?
Partie 2: Technologies et outils de développementTechnologies-Dev-200
  • Base de données: Donnez l’éditeur, l’architecture, l’OS, la dépendance au vendeur, la portabilité, le nombre d’indexes
  • Pouvez-vous donner le modèle de la base de données? (Si oui, merci de le fournir avec votre réponse)
  • Serveur d'application: fournisseur, version actuelle, OS
  • Framework de développement (ex. Java Struts, etc. …)
  • Énumérer tous les logiciels nécessaires du point de vue de l'utilisateur final (niveau de compatibilité du navigateur, plug-ins, des logiciels tiers, OS, etc. …)
  • Décrire la configuration matérielle minimale pour faire fonctionner votre logiciel (type de PC, mémoire minimale requise, imprimantes, etc. …)
  • Énumérer tous les outils de développement (IDE, déploiement, conception, etc. …)
  • Comment votre équipe de développement est-elle organisée ?
  • Quels sont les outils de gestion de projet et le contrôle des sources que vous utilisez ? (Source sécurité, suivi des bogues, workflow, etc. …)
  • Quel outil de méthodologie utilisez-vous  (cas d'utilisation, etc. …) ?
  • Quels sont les évolutions prévues pour vos outils de développement et les technologies de votre logiciel ?
  • Que faites-vous pour la veille technologique?
Parties 3: Informatique mobile et équipement personnel de l'utilisateur finalMobiles-200
  • Décrire les caractéristiques du matériel supporté par l’application
    • modèles
    • les caractéristiques de robustesse
    • OS
    • RAM nécessaire
    • des capacités intégrées telles que le GPS
    • des moyens de communication
    • etc. …
Partie 4: A propos du logicielplatform-cloud-apps-logo-200
  • Comment le développement de votre logiciel a commencé ? (Background)
  • Combien de clients ont acheté vos solutions jusqu'à maintenant ?
  • Si possible, fournir 2 références client. Pouvons-nous communiquer avec eux?
  • Comment votre architecture est évolutive ?
  • Décrivez votre architecture logicielle (si possible avec un schéma)
  • Environ, combien de “jours-homme” ont été nécessaires pour développer votre application ?
  • Votre produit est développé “from scratch”, ou provient-il d'une autre solution (ou produit) ?
  • Quel type de documentation technique avez-vous ? Peut-elle être fournie ?
  • Combien de classes existent dans votre application ?
  • Quel pourcentage de votre solution est mise en œuvre au niveau du serveur de base de données ? (Procédures stockées, triggers, moteur de base de données exclusif, etc. …)
  • Où sont stockés les paramètres de l'application (fichiers XML, bases de données, fichiers de configuration, etc. …) ?
  • Décrire à quel niveau votre logiciel peut être paramétré par les utilisateurs finaux eux-mêmes
  • Décrire les fonctionnalités de reporting de votre solution
  • Est-ce qu’un outil décisionnel peut être branché sur votre base de données ? (Cognos Impromptu, Business Objects, les solutions Oracle ou Microsoft etc. …)
Partie 5: Propriété Intellectuelle et Savoir-FaireCompany_data-200
  • Énumération de toutes les licences nécessaires pour le logiciel (votre logiciel, composants tiers, etc. …). Décrire également sous quel type de licence chaque produit est autorisé ?
  • La conformité totale avec toutes les licences ? (copie de licence ou accord qui doivent être demandé)
  • La pleine propriété de la Propriété Intellectuelle (sans privilèges) et / ou des droits requis pour obtenir une licence ?
  • Votre logiciel est-il protégé par des marques déposées ?
  • Aucune option sur la propriété Intelletuelle accordée à un tiers ?
  • Aucune réclamation existante (ou menaces) par un tiers sur la Propriété Intellectuelle ?
  • Transfert de la Propriétaire Intellectuelle en cas de faillite
  • Dans quelles conditions votre code source peut être transmis pour l'entretien ou des adaptations locales ? (ex. sous NDA, à l'exclusion de revente, etc. …)
  • Contrat standard / Conditions Générales / Service Level accords (SLA) à fournir
  • Toutes les Propriétés Intellectuelles dans le développement et la documentation spécifique à acquérir immédiatement
Partie 6: Déploiement et installationprocesses-200
  • Décrivez votre kit de déploiement et la solution associée
  • Décrivez votre environnement de mise en place et le processus de livraison pour les nouvelles versions
  • Décrivez votre souplesse lors de déploiement de nouvelles versions / mises à jour / correctifs / patches (Complexité, description des packages de ressources tels que EAR / WAR / fichiers JAR, les installations de mises à jour à distance, les déploiements à chaud, etc. …)
Partie 7: HébergementFlashing-Lights-200
  • Quelles sont les solutions d'hébergement que vous pouvez offrir ?
  • Indiquez l'emplacement de vos serveurs et Centre de calcul
  • Garantie sur la propriété des données (même sur le cas de la faillite, de force majeure, etc. …)
  • Séparation des données des données entre les différents clients
  • Restauration complète des données et la transmission de données (sans frais supplémentaires)
  • Décrivez vos procédures de sauvegarde actuelles (à la fois pour les données de l'entreprise et vos clients)
  • Proposition d'une stratégie totale d'hébergement (y compris si vous pouvez offrir l'hébergement sur place et hors site, la sauvegarde hors site, le plan DRP, les “reverse proxys”, etc. …)
Partie 8: Support et maintenanceIND_Project_Finance_ALL_RISKS_ARE_OBVIOUS6_low-res-200
  • Quels services pouvez-vous fournir en terme de support et maintenance ?
  • Coût standard de support et la maintenance du système sous un contrat de licence ?
  • Expliquez vos processus de support en place
  • Décrire de quelle manière vous pouvez apporter un soutien aux utilisateurs d’un pays différent (multilangue, multizone horaire, etc. …) ?
  • Avez-vous d'accord avec le principe des niveaux de service avec les crédits de service ?
Partie 9: SécuritéTechnologyComponents-200
  • Travaillez-vous en respectant les règles de l’art d’un environnement IT ?
  • Décrivez votre protection anti-virus (Pour les postes de travail et serveurs)
  • Décrivez la protection anti-intrusion de votre réseau
  • Décrivez la protection anti piratage de votre application (injection SQL, etc. …)
  • Etes-vous d’accord pour que notre responsable sécurité visite vos bureaux et vos installations ?
  • Appliquez-vous le cryptage HTTPS ? Si oui, décrire les modules de communication qui sont cryptés et une énumération des certificats SSL utilisés
  • Tenez-vous compte des modifications apportées par les utilisateurs ? Sur votre logiciel et / ou ordinateur manipulé ? Quels détails de données sont stockés ? Où sont-ils stockés ? (Dans les fichiers journaux, base de données, etc. …)
  • Votre code source est crypté et protégé contre le “reverse ingeneering” ?
Partie 10: Assurance et Responsabilitécontracts-200
  • Avez-vous une assurance pour couvrir la perte potentielle de données ?
  • Le respect permanent de la réglementation (en particulier avec la réglementation des données personnelles) ?
  • Aucune exclusion ou limitation de responsabilité pour l'utilisation des sous-traitants ?
Partie 11: Ressources Humainespresentation-200
  • Combien de ressources (100%) dédiées peuvent être affecté au projet ? (Décrire leurs rôles)
  • Envisagez-vous des embauches pour ce projet ?
  • Combien de personnes avez-vous envisagez d'embaucher en 20XX (en dehors de ce projet) ?
  • Quel est le nombre de prestataires et stagiaire présents ?
  • Accords NDA en place avec les employés et les sous-traitants ?
  • Envisagez-vous de sous-traiter ou externaliser une partie du projet ? Si oui, décrivez où
Partie 12: Gestion de projet et questions contractuelles clésIND_Project_Finance_ALL_RISKS_ARE_OBVIOUS5_low-res-200
  • Pouvez-vous envisager de travailler avec des délais de livraison ?
  • Aucun coût pour la correction de bugs au cours de la phase de tests et d'acceptation. Etes-vous d'accord avec ce principe ?
  • Le retard ou l’échec de livraison peut déclencher des sanctions. Etes-vous d'accord sur le principe ?
  • Exemple de la planification pour un projet de mise en œuvre à fournir
  • Quelles sont vos modalités de paiement ?
Partie 13: Modalités de résiliationQuestionnaire-200
  • Pour plus de commodités, seulement avec un préavis de 30 jours
  • En cas d'infraction de Propriété Intellectuelle
  • En cas de livraison tardive
  • En cas de non-respect des SLA

Conclusion

Comme vous pouvez le constater, le nombre de questions est assez important et les sujets sont riches. Il est de votre responsabilité de prendre, parmis cette liste, celles qui sont adaptées à votre contexte. En effet, certains éditeurs peuvent être récalcitrant dans la fournitures de toutes ces informations (cas des Start-up par exemple). De plus, vous pouvez ajouter des questions supplémentaires adaptées à vos besoins.
Si vous voulez partager vos idées, je vous invite à les ajouter en commentaire.
Romelard Fabrice [MBA Risk Management]
Libellés :

Commentaires

  1. Miiitch13 novembre 2014 à 11:31

    le ratio presta/stagiare est aussi interessant

    RépondreSupprimer
    Réponses
    1. Fabrice Romelard13 novembre 2014 à 17:48

      Merci, c'est une excellente remarque qui peut effectivement apparaître dans les questions à poser :)
      EDIT: Cest ait maintenant

      Supprimer

Enregistrer un commentaire

Posts les plus consultés de ce blog

IT Due Diligence : Questionnaire standard pour l’évaluation d’un projet interne

Je vous ai proposé dans les précédents modèles comment préparer deux types de mission : IT Due Diligence : Questionnaire standard de préparation d’audit–Asset Management IT Due Diligence : Questionnaire standard pour l’évaluation d’un fournisseur de solution IT Il reste encore un cas très classique dans ce milieu qui exige une approche différente. En effet, la Due Diligence de projet implique une mission en interne et donc directement en relation avec des collègues, qu’ils soient proches ou éloignés. Il est ainsi impossible de lancer ce type de mission comme pour une entreprise externe, car quelque soit la situation exigeant la mission, il faut conserver une certaine neutralité. Le questionnaire sera donc volontairement plus léger pour ne pas brusquer les personnes en charge du projet, car il faut les garder avec une pensée positive. Le but final est toujours le même: Rester concentré sur le besoin client Partie 1: Processus organisationnel Contrats relatifs au projet (a
1 commentaire
Lire la suite

IT Due Diligence : Questionnaire standard de préparation d’audit–Asset Management

Cette question de préparation est très certainement la plus courante dans ce type de mission. En effet, les missions de Due Diligence sont toujours courtes. Ainsi, plus la préparation en amont est bien effectuée, plus le travail sur place sera intéressant et concentré sur les vraies questions de fond. Nous verrons à travers plusieurs messages à venir les différents questionnaires possibles. Attention: Il est évident que ce seront toujours des trames que vous pouvez agrémenter selon vos propres besoins. Asset Management Avant de commencer, le contexte de ce type de questionnaires est très axé sur la propriété et sur les “Assets” de l’audité. Le but est d’appréhender au mieux la situation matérielle avant son arrivée sur site. Ainsi, ce cadre est utilisable dans les situations d’évaluation d’entreprise avant acquisition par exemple ou pour l’audit d’une filiale (ou encore d’un bureau). Partie 1: Présentation Présentation de l’entreprise Nom de l’entreprise Adresse Desc
1 commentaire
Lire la suite